Es kann passieren, dass legitime Kunden oder Besucher von Internetseiten vom Server ausgesperrt werden.
Da unsere Firewall im Cluster läuft, gelten diese Sperren dann für alle unsere Server.
Hierbei ist immer zu beachten, dass nur gesperrt wird, wenn beim Kunden auf der Webseite oder beispielsweise im E-Mail Client zu viele fehlerhaften Login-Versuche gestartet werden.
Tipp: E-Mail Clients loggen sich oft automatisch beim Programmstart ein. Wenn vorher das Passwort falsch eingegeben wurde, wird mehrmals das falsche Passwort ausprobiert und der Server macht dicht.
Wir können hierbei nicht unterscheiden, ob der Zugriff legitim ist oder nicht.
Im folgenden schreiben wir für Sie einige Fall-Beispiele auf.
Fall 1: Sie haben eine Internetseite und binden Bilder ein. Aus Versehen verlinken Sie nicht auf das Bild, sondern auf den Ordner, in dem das Bild enthalten ist. Die Anfrage wird abgewiesen mit einem Fehlercode 403 (Link https://de.wikipedia.org/wiki/HTTP-Statuscode). Passiert das zu oft, erkennt die Firewall, dass hier Zugriffe erfolgen, die verboten sind. Es kann sich hierbei auch um einen unerlaubten Besucher handeln, der versucht die Ordner zu scannen (was per Standard unterbunden wird). Oder beispielsweise gibt es Probleme mit der .htaccess was ein Fehlercode 500 zur Folge hat. Resultat: Bei zu vielen fehlerhaften / unerlaubten Zugriffen, wird die IP gesperrt.
Fall 2: Wie oben bereits erwähnt: Fehlerhaften Zugangsdaten im E-Mail Client.
Wenn Einstellungen im E-Mail Client zu oft umgestellt und ausprobiert werden oder das Passwort falsch ist, kann die Firewall dabei nicht unterscheiden, ob ein Hacker gerade eine Liste von Passwörtern ausprobiert oder unser Kunde die Einstellungen (SSL, ohne SSL) oder das Passwort oftmals falsch eingegeben hat. Typische Kopierfehler spielen hier ebenfalls eine Rolle (Leerzeichen vor oder nach dem Passwort, da es aus einer E-Mail oder Textdatei rauskopiert wird)
Resultat: Bei zu vielen fehlerhaften / unerlaubten Zugriffen, wird die IP gesperrt.
Fall 3: Eine Internetseite ist nicht korrekt programmiert, in der Browserkonsole finden sich viele Fehler wieder. Beispielsweise weil Javascript nicht korrekt läuft oder einen Konflikt hat. Oftmals sind das 2-3 Fehler, die dann generiert werden. Also Der Besucher ruft die Startseite auf, optisch erstmal ok. Im Hintergrund ist der Besucher mit seinem Browser bereits auf zwei Fehler gestoßen. Er surft weiter und besucht die Seiten „Über uns“, „Leistungen“, „Impressum“ und „Kontakt“. Insgesamt 5 Seitenabrufe je 2-3 Fehler. Hier kann es zu einer Sperrung kommen. Verantwortlich dafür ist der Seitenbetreiber welcher die Fehler im Code nicht bemerkt hat. Oder viel wahrscheinlicher die Schuld eines Plugins bei Wordpress zum Beispiel, welches Fehler verursacht, weil es nicht up-to-date ist.
Resultat: Bei zu vielen fehlerhaften / unerlaubten Zugriffen, wird die IP gesperrt.
Sie sehen, hier spielen viele Faktoren eine Rolle und oftmals ist es gleichwertig wie eine Art Angriff. Die Firewall arbeitet hier korrekt. Entdeckt die Firewall über eine IP zu viele fehlerhafte Zugriffe wird die IP gesperrt.
Wir hoffen dieser Artikel kann Ihnen etwas weiterhelfen.